【安全圈】黑客正利用Windows事件日志来隐藏恶意程序

admin 2022年5月10日22:17:03安全新闻评论4 views900字阅读3分0秒阅读模式
【安全圈】黑客正利用Windows事件日志来隐藏恶意程序

关键词

网络安全


安全研究人员近期注意到一个利用 Windows 事件日志来存储恶意软件的活动,这项技术此前并没有被记录用于黑客攻击。这种方法使攻击者能够在文件系统中植入无文件的恶意软件,这种攻击充满了技术和模块,旨在尽可能保持活动的隐蔽性。


【安全圈】黑客正利用Windows事件日志来隐藏恶意程序


卡巴斯基的研究人员在配备该公司产品的客户电脑上,通过基于行为的检测和异常控制技术确认了这项威胁,并收集了该恶意软件的样本。调查显示,该恶意软件是一个“非常有针对性”的活动的一部分,并依赖于大量的工具,包括定制的和商业上可用的。

卡巴斯基首席安全研究员 Denis Legezo 说,这种方法是在恶意活动中首次在实际攻击中使用。该投放器将合法的操作系统错误处理文件 WerFault.exe 复制到'C:WindowsTasks',然后将加密的二进制资源投放到同一位置的'wer.dll'(Windows错误报告),进行DLL搜索顺序劫持以加载恶意代码。


【安全圈】黑客正利用Windows事件日志来隐藏恶意程序


DLL 劫持是一种黑客技术,利用检查不充分的合法程序,从任意路径向内存加载恶意的动态链接库(DLL)。Legezo说,投放器的目的是在磁盘上加载器,用于侧面加载过程,并在事件日志中寻找特定的记录(类别0x4142 - ASCII中的'AB'。如果没有找到这样的记录,它就写下8KB的加密shellcode块,这些块后来被组合成下一个stager的代码。

卡巴斯基首席安全研究员 Denis Legezo 表示:“被丢弃的wer.dll是一个加载器,如果没有隐藏在Windows事件日志中的shellcode,它不会造成任何伤害”。


   END  

阅读推荐


【安全圈】黑客正利用Windows事件日志来隐藏恶意程序【安全圈】47名新冠确诊病例学生信息遭泄露,检察机关斩断买卖“利益链”!

【安全圈】黑客正利用Windows事件日志来隐藏恶意程序【安全圈】Google Play封了俄区 更新App都不行了

【安全圈】黑客正利用Windows事件日志来隐藏恶意程序【安全圈】美国财政部首次制裁比特币混币器 原因是为朝鲜洗钱2500万美元

【安全圈】黑客正利用Windows事件日志来隐藏恶意程序【安全圈】奢侈品品牌GUCCI宣布将接受加密货币支付 包括比特币/以太坊/狗狗币/稳定币等


【安全圈】黑客正利用Windows事件日志来隐藏恶意程序
【安全圈】黑客正利用Windows事件日志来隐藏恶意程序

安全圈

【安全圈】黑客正利用Windows事件日志来隐藏恶意程序

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

【安全圈】黑客正利用Windows事件日志来隐藏恶意程序

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

【安全圈】黑客正利用Windows事件日志来隐藏恶意程序


原文始发于微信公众号(安全圈):【安全圈】黑客正利用Windows事件日志来隐藏恶意程序

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月10日22:17:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【安全圈】黑客正利用Windows事件日志来隐藏恶意程序 http://cn-sec.com/archives/996381.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: